W marcu 2012 r. grupa odpowiedzialna za Flashfake’a wprowadziła wiele nowych funkcji do swojego szkodliwego programu. Obejmują one nową metodę wyszukiwania dla serwerów kontroli przy użyciu Twittera oraz dodatek do przeglądarki Firefox zamaskowany pod postacią dodatku do odtwarzacza Adobe Flash Player. Szkodliwa wtyczka pozwala cyberprzestępcom kontrolować zainfekowane komputery oraz jeszcze skuteczniej podmieniać reklamy i odsyłacze na stronach wyszukiwanych przez użytkowników.
“Flashfake jest obecnie najbardziej rozpowszechnionym szkodliwym oprogramowaniem dla systemu Mac OS X” — komentuje Costin Raiu, dyrektor globalnego zespołu ds. badań i analizy (GReAT), Kaspersky Lab.
“Cyberprzestępcy nie tylko rozwinęli swoje metody ataków, dzięki czemu wykorzystują teraz luki zero-day, ale również stworzyli platformę, która jest elastyczna i może zostać łatwo zmodyfikowana w celu przeprowadzania nowych akcji. Flashback sprawdza, czy istnieją rozwiązania antywirusowe, posiada zintegrowane mechanizmy chroniące go przed wykryciem i wykorzystuje szyfrowanie w celu komunikowania się z serwerami kontroli. Świadczy to o tym, że cyberprzestępcy są skłonni zainwestować czas i wysiłek po to, by zwiększyć skalę i skuteczność tego szkodliwego oprogramowania”.
Mimo że przed końcem kwietnia Flashfake zainfekował ponad 748 000 komputerów z systemem Mac OS X, rozmiar botnetu znacznie zmniejszył się. W maju liczba aktywnych botów została oszacowana na 112 528.
Pełna wersja analizy “Anatomia Flashfake’a” jest dostępna w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: